【HackTheBox】- Monteverde 靶机学习

目录

  • [1. 环境](#1. 环境)
  • [2. Task Lists](#2. Task Lists)
    • [1. Task 1](#1. Task 1)
    • [2. Task 2](#2. Task 2)
    • [3. Task 3](#3. Task 3)
    • [4. Task 4](#4. Task 4)
    • [5. Task 5](#5. Task 5)
    • [6. Task 6](#6. Task 6)
    • [7. Task 7](#7. Task 7)
    • [8. Task 8](#8. Task 8)
    • [9. Task 9](#9. Task 9)

1. 环境

难度:Medium

OS:Windows

2. Task Lists

1. Task 1

Task 1:What is the domain name that Monteverde is acting as a domain controller for?

Monteverde 作为域控制器正在管理的域名是什么?

分析:

先快速扫描目标服务器开放的端口:rustscan -a 10.129.18.50 -r 1-65535

再针对开放的端口做详细的扫描:nmap -p53,88,135,139,389,593,636,3268,3269,5985,9389,49667,49673,49674,49676,49696,62697 -A -sV -sT 10.129.18.50

所以答案:MEGABANK.LOCAL

2. Task 2

Task 2:What is the username for the service account for the AD Connect synchronization service?

用于 AD Connect 同步服务的服务账户的用户名是什么?

分析:

枚举用户:enum4linux -a 10.129.18.50

在 users 部分:Account: AAD_987d7f2f57d2 Name: AAD_987d7f2f57d2 Desc: Service account for the Synchronization Service with installation identifier 05c97990-7587-4a3d-b312-309adfc172d9 running on computer MONTEVERDE.

翻译一下就是:描述:用于同步服务(Synchronization Service)的服务账户,安装标识为 05c97990-7587-4a3d-b312-309adfc172d9,运行在计算机 MONTEVERDE 上。

所以用户名就是Account部分:AAD_987d7f2f57d2

3. Task 3

Task 3:Which user on Monteverde uses their username as a password?

哪个用户用用户名当密码。

分析:

将上面获取到的用户名保存成一个 user.txt 文件:

bash 复制代码
AAD_987d7f2f57d2
dgalanos
Guest
mhope
roleary
SABatchJobs
smorgan
svc-ata
svc-bexec
svc-netapp

使用crackmapexec来爆破,用户名和密码都是用上面的user.txt 文件:crackmapexec smb 10.129.18.50 -u user.txt -p user.txt

所以用户 SABatchJobs 的密码是用户名。

4. Task 4

Task 4:What share contains a file with a users Azure configuration?

哪个共享包含用户的 Azure 配置文件?

分析:

枚举共享目录:enum4linux -S 10.129.18.50

什么结果都没有。原因应该是 enum4linux(老版本)在扫描共享目录时会 fallback 到 SMB1,但是这个靶机默认关闭 SMB1**。**

这里可以尝试使用 smbclient 或者 CrackMapExec。

我用的 CrackMapExec 进行 smb 枚举共享:crackmapexec smb 10.129.18.50 -u SABatchJobs -p SABatchJobs

从返回中看到了目标主机的SMB信息(Banner 信息)。

第二行表示凭证认证成功了。[+]表示凭证正确。

CrackMapExec 只能验证凭证是否正确,不能访问目录,所以接下来用 smbmap 来查看有哪些 SMB 目录可以访问:smbmap -u SABatchJobs -p SABatchJobs -H 10.129.18.50

结合题目,问的是用户的配置文件,所以我们关注 users$ 目录(后面有 $ 的是隐藏共享),具有只读权限。

再用 smbclient 来登录 SMB: smbclient //10.129.18.50/users$ -U SABatchJobs%SABatchJobs

登录以后查看内容:ls

进入mhope目录:cd mhope

下载文件:get azure.xml

退出登录:exit

在kali中查看文件内容:

所以这里的答案就是:users$

5. Task 5

Task 5:What is the mhope user's password?

分析:

上面的配置文件中获取到了一个密码:4n0therD4y@n0th3r$

由于是在 mhope 目录下,题目问的是 mhope 的密码,所以直接尝试:crackmapexec smb 10.129.18.50 -u mhope -p 4n0therD4y@n0th3r$

从返回结果来看认证成功。

6. Task 6

Task 6:Submit the flag located on the mhope user's desktop.

分析:

当拿到一个域用户的账号密码后,第一件事通常就是尝试 WinRM 登录:evil-winrm -i 10.129.18.50 -u mhope -p 4n0therD4y@n0th3r$

登录成功后进入桌面上找到flag:

7. Task 7

Task 7:What group is mhope a member of that has to do with syncing Active Directory information with the cloud based version at the time?

mhope 当时是哪个与将 Active Directory 信息与基于云的版本同步有关的团体的成员?

分析:

问题就跟用户/组有关系了。

列出用户权限和组:whoami /all

Attributes 中显示 Enabled group,表示 mhope当前属于该组。

所以 mhope 属于 MEGABANK 域内 Azure Admins 组的成员。其他组基本都是域默认组,所以 Azure Admins 就是答案。

8. Task 8

Task 8:What is the administrator user's password on Monteverde?

管理员密码是什么。

分析:

关于Azure域有一个漏洞可以参考:

Azure AD 权限提升 - 作为应用管理员接管默认应用权限 - dirkjanm.io

Azure AD Connect for Red Teamers - XPN InfoSec Blog

最终利用起来就是使用Get-MSOLCredentials.ps1即可。下载地址:https://github.com/glowbase/Get-MSOLCredentials.ps1/blob/main/Get-MSOLCredentials.ps1

放在kali中,上传到目标主机:upload Get-MSOLCredentials.ps1 .

执行文件:.\Get-MSOLCredentials.ps1

返回了管理员密码。d0m@in4dminyeah!

9. Task 9

Task 9:Submit the flag located on the administrator user's desktop.

分析:用管理员账号登录上,查看用户的桌面就可以发现flag。

执行命令:evil-winrm -i 10.129.18.50 -u administrator -p 密码

相关推荐
x_x-F20 分钟前
深入浅出 Linux 网络核心:sk_buff 的内存与指针流转
linux·运维·网络
潘正翔10 小时前
docker核心概念
linux·运维·服务器·docker·容器·centos·运维开发
weigangwin11 小时前
agent-workspace-linux 不是远程桌面:Linux AI 工作区的隔离边界验收
linux·xvfb·mcp·桌面隔离·权限边界·bubblewrap·agent-workspace
Dovis(誓平步青云)12 小时前
远程办公软件文件传输实测:6 款工具的速度、稳定性和办公体验对比
linux·运维·服务器·后端·生成对抗网络
Java小白笔记13 小时前
Docker 安装配置完全指南:MacOS 、Windows、Linux环境下的安装、配置与验证
linux·macos·docker
2501_9151063213 小时前
TraceEagle 代理抓包教程 本机和手机的 HTTPS 抓包方法
网络协议·计算机网络·网络安全·ios·adb·https·udp
qetfw14 小时前
CentOS 7 搭建 LDAP 目录服务
linux·运维·centos
ALINX技术博客15 小时前
【黑金云课堂】FPGA技术教程Linux开发:系统进阶-PS DMA
linux·fpga开发
IT方大同16 小时前
linux简介
linux·运维·服务器
mounter62516 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel